-
-
[原创]OdScript+VC 练习还原重定位表
-
发表于: 2013-1-14 00:41
-
用VC2010编译出来的EXE程序跟DLL很像,在PE文件里的基址一般写着0X400000,但是一般不会被加载到这个位置。这就意味着,如果加壳工具去除了EXE程序的原始重定位表,我们似乎只能用两种方法来处理壳:1.在壳代码中强制它以0X400000为重定位基址,然后DUMP 2.像处理DLL一样修复它的重定位表。本文以UPX加EXE为例试验了第二种方法,修复EXE的重定位与修复DLL的重定位原理差不多,坛上帖子多,我就不废话了。
大致操作过程如下:
1.使用的ESP定律迅速找到OEP 2.找到OEP以后进入原程序的代码,找几个需要重定位的地址,下内存断点,中断两三次后会发现类似下面这样的代码,拦截ebx,保存起来后处理一下即可得到重定位表。
add eax,esi
mov [ebx],eax
详细操作见OD代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 | var bp1rva=10546 var pcurrmem_ori=0var pcurrmemvar membase=0var memsize=2000var hdaddr=0msgyn "是否要执行本脚本?"cmp 0,$RESULTjnz nextnext:mov memsize,2000alloc memsize //分配内存用作重定位表的修复mov pcurrmem,$RESULTmov pcurrmem_ori,pcurrmemlog pcurrmemgmemi eip,MEMORYOWNERmov membase,$RESULT //获取当前加载基址mov bp1rva,10546add bp1rva,membasebp bp1rva //在这个地址下断//ESP定律stimov hdaddr,esplog hdaddrbphws hdaddr,"r"runeob manytimesmanytimes://会先停在bp1cmp eip,bp1rvajnz maybetheendmov [pcurrmem],ebx //保存即可add pcurrmem,4//指针加4runmaybetheend:dm pcurrmem_ori,memsize,"d:\desktop\reloc.hex"bphwc hdaddr |
赞赏记录
参与人
雪币
留言
时间
伟叔叔
为你点赞~
2024-5-31 06:50
心游尘世外
为你点赞~
2024-5-31 03:44
QinBeast
为你点赞~
2024-5-31 03:34
飘零丶
为你点赞~
2024-4-2 02:08
shinratensei
为你点赞~
2024-2-3 04:27
PLEBFE
为你点赞~
2023-3-7 00:37
|
|
|---|---|
